Appleのデバイス製品、iPhone、iPad、MacなどではWindowsと違い、マルウェアや悪意のある人からのリモートコントロールなどの影響を受けないと思っていた時代はとっくに過ぎうているようですね。ITmedia エンタープライズが、iOSアプリで使われている「WebView」HTMLコンテンツ表示機能を悪用した、リンクをクリックすると特定の電話番号に電話をかけさせる攻撃が紹介されています。
このiOSバグは、テキストメッセージやFacebook、Twitterなどのソーシャルメディアを介して受信したリンクをタップすると、iPhoneなどのiOSデバイスのユーザーインターフェイスを強制的にロックし、電話アプリから電話を掛けることができるというものです。また、画面表示をブロックして電話を切ることも停止することもできないようにすることも可能とのこと。
発見者のCollin R. Mulliner氏によると、アプリ内でWebViewを使ってユーザーが受信したメッセージなどのリンクを開く機能のあるアプリに限定されているようで、SafariやChromeでリンクを開くようになっているアプリは影響を受けないとのことです。
Facebook、Twitterなどのソーシャルメディアを介して自由に配布される共有リンクにより、米国アリゾナ州では1分間に現地の911コンタクトセンターに100回以上の電話がかけられたとのことです。任意の電話番号に強制的にかけられるiOSバグの悪用者がこのように公共の消防署や警察署などの特定の緊急サービスを標的にしている場合は、日常生活に支障をきたす場合も考えられ、まさにデンジャラスですね。
上の動画のように、iOSのTwitterやLinkedInアプリに届いたリンクをクリックするとWebが表示される代わりに強制的に電話がかかってしまう動画も公開されています。アプリ、特にメッセージアプリに届いたリンクを見ただけでは判断できないので注意しようがないですね。ただ、もしもこの現象に遭遇した場合には、電話アプリに切り替えて電話を切りましょう。また、画面表示がロックされてしまっている場合にはiPhoneを強制終了するしかないかもしれません。
このiOSバグを解決するには、まずはアプリで「WebView」機能を使っている場合にはその機能を修正、根本的にはAppleのHTMLコンテンツ表示機能「WebView」の仕様を変更してもらう必要があるようです。
